Webアプリケーション脅威解析報告書 - Penta Security Systems Inc.

Webアプリケーション
脅威解析報告書
: 2014年下半期
2014年下半期Webアプリケーション脅威解析報告書
目次
はじめに
Web脅威の動向のサマリー
Web攻撃動向の解析
1. WAPPLESルールによる検知Top10
2. OWASP 2013基準Web攻撃類型Top10
3. Web攻撃発信国Top５
4. Web攻撃の目的
5. WAPPLESルールごとの危険度
6. Web攻撃の月別推移
WAPPLESルールによる対応
1. OWASP 2013に対応するWAPPLESルール
2. 危険度に対応するWAPPLESルール
3. Web攻撃の目的に対応するWAPPLESルール
付録
WAPPLESルールの紹介
01
2014年下半期Webアプリケーション脅威解析報告書
はじめに
本報告書では、ペンタセキュリティシステムズ株式会社(韓国本社)のWebハッキング遮断システム
(WAF：Web Application Firewall)であるWAPPLESより収集された検知ログの統計情報から、当社の
ICS(Intelligent Customer Support)のシステムを採用し解析した攻撃動向を記載しています。
本報告書の作成目的は、検知ログの統計データより解析されたWeb攻撃動向の情報を共有および
提供することによりWAPPLESを導入しているお客様に、
より高いレベルのセキュリティサービスを
提供することにあります。
本報告書では、Web攻撃動向を次のように各カテゴリにわけて解析しており、WAPPLESの26の検知
ルール※とその危険度、OWASP 2013の脆弱性TOP10、攻撃の発信国、攻撃を実行する目的、攻撃の
月別推移などにあわせたデータおよび解析結果を提示しています。その他、WAPPLESの26の検知
ルールに対し、OWSAP 2013脆弱性、危険度、Web攻撃を実行する目的にマッピングしたテーブルを
提供することにて、WAPPLESを導入しているお客様には、最近の攻撃の推移をより易しく理解して
頂くように致します。
本報告書で採用している検知ログの統計データは、官公署を除外した、検知ログの統計情報の収集
および利用に同意しているお客様の1186のWAPPLESにて2014年07月01日から2014年12月31日
までの期間を基準とします。
当該のデータには、
お客様より収集した検知ログの統計データのみであり、
個人情報およびWAPPLESの保護対象の情報などは一切含まれていません。
WAPPLESの26の各ルールの情報は、付録の「WAPPLESルールの紹介」
より提示しております。
02
2014年下半期Webアプリケーション脅威解析報告書
Web脅威の動向のサマリー ※
2014年下半期では、他の攻撃パターンに比べ、比較的深刻な被害をもたらすインジェクション攻撃
(OWASP 2013基準「インジェクション」
、
ペンタセキュリテイシステム基準
「インクルードインジェクション
(Include Injection)」)が最も多く見られています。
インクルードインジェクションは、OWASP2013攻撃類型TOP10でもある代表的な攻撃パターンの
一つで、サーバサイドスクリプト内のインクルード関数を採用し、Webサイトの改ざんやサーバ運用の
妨害を行う攻撃です。
インクルードインジェクションは、
データの損失又は破壊、
サービス中止をはじめ、
ホストそのものが完全奪取される恐れがあるため、細心の注意を払う必要があります。
最も注目すべき部分は、脆弱性への早急性である危険度が、2014年上半期に比べ「緊急」の攻撃が
全体の31.0%を占めるなど(2014年上半期は26.5%)、増加したことです。危険度の「緊急」の攻撃の
場合、Webサーバが完全にハッカーによって奪われ、従来の管理者の権限は奪われてしまい、大量の
個人情報および企業機密情報の漏洩といった致命的な被害を及ぼすことになります。
したがって、
Web攻撃に対応するためにサーバ管理者及びセキュリティ担当者には、脆弱性を定期的に点検する
こととともに、
Webハッキング遮断ソリューションを導入することが求められます。
さらに万が一情報漏洩が
発生した場合でも、悪用され2次被害に遭わないように暗号化ソリューションを反映するといった二重、
三重のセキュリティ対策を講ずることが求められます。
< 2014年下半期(2014.07.01 2014.12.31)のWAPPLESの検知統計情報サマリー >
Web攻撃の目的 ¦ 割合
検知ルール
¦
割合
1. 脆弱性スキャン
27.7%
1. インクルードインジェクション
22.5%
2. Webサイト改ざん
26.1%
2. エクステンションフィルタリング
15.4%
3. サーバ運用妨害
17.5%
3. バッファオーバーフロー
14.1%
危険度
¦ 割合
緊急
31.0%
高
21.1%
中
38.2%
脆弱性の下調べ
9.8%
詳細は、Web攻撃動向の解析を参考にしてください
03
2014年下半期Webアプリケーション脅威解析報告書
Web攻撃動向の解析
1. WAPPLESルールによる検知Top10
22.5%
インクルードインジェクション
15.4%
エクステンションフィルタリング
14.1%
バッファオーバーフロー
エラーハンドリング
10.1%
プライバシーアウトプットフィルタリング
10.0%
パラメータタンパリング
8.5%
インバリッドHTTP
6.4%
リクエストヘッダフィルタリング
6.0%
URI アクセスコントロール
3.5%
クッキーポイズニング
3.4%
0
5
10
15
20
25
本グラフは、
WAPPLES検知ルールごとに発生しているアラートの頻度を出力しています。
2014年7月1日
から2014年12月31日の間、
インクルードインジェクション(Include Injection)が最も頻度の高い攻撃であり、
その次がエクステンションフィルタリング(Extension Filtering)、
バッファオーバーフロー(Buﬀer Overﬂow)
の順となっています。
インクルードインジェクション(Include Injection)は、
悪意のあるコードをアップロード後、
インクルードの
関数を採用し、
コードを実行することによって別なWebサイトや内部のファイルへ移動させる試み
です。
このような試みは、通常のテキスト形式のファイルに見せかけたWebshellをアップロードし
管理者権限を取得することなども可能になるため、非常に危険性の高い試みであり、必ず対策を
設けなれればなりません。
エクステンションフィルタリング(Extension Filtering)は、
通常の正常なWebサイトにて許可されている
拡張子ではなく、Webサーバが動作不能状態になってしまう恐れのある脆弱性のある拡張子(dll,
conf, iniなど)へのアクセスの試みです。
04
2014年下半期Webアプリケーション脅威解析報告書
バッファオーバーフロー(Buﬀer Overﬂow)は、
ハッカーによって通常のメモリサイズを超える長い文字列が
サーバに入力され、
遠隔コードの実行やサービスの拒否、
メモリアクセスエラーなどを引き起こす試み
です。
プログラムの正常な動作を妨げたり、任意の命令を行ったりするなどの危険な試みであり、
必ず対応が必要です。
ＷＡＰＰＬＥＳルール
¦
検知件数（件）
インクルードインジェクション(Include Injection)
エクステンションフィルタリング(Extension Filtering)
バッファオーバーフロー(Buffer Overflow)
エラーハンドリング(Error Handling)
プライバシーアウトプットフィルタリング(Privacy Output Filtering)
パラメータタンパリング(Parameter Tampering)
インバリッドHTTP(Invalid HTTP)
リクエストヘッダフィルタリング(Request Header Filtering)
詳細数値情報は、
WAPPLESを購入
したお客様に
配布される報告書
のみで提供されます。
URI アクセスコントロール(URI Access Control)
クッキーポイズニング(Cookie Poisoning)
< 表1. WAPPLESルールによる検知Top 10 >
05
2014年下半期Webアプリケーション脅威解析報告書
2. OWASP 2013基準Web攻撃類型Top10
22.7%
A1. インジェクション
2.4%
A2. 不完全な認証とセッション管理
1.2%
A3. クロスサイトスクリプティング
A4. 安全ではないオブジェクトの
直接参照
17.2%
12.8%
A5. セキュリティの不適切な設定
19.6%
A6. 機密データの露出
A7. 機能レベルの
アクセスコントロールの欠落
14.4%
7.1%
A8. クロスサイト要求偽造
A10. 検証されていない
リダイレクトとフォワード
2.4%
0
5
10
15
20
25
本グラフは、
WAPPLES検知ルールにより発生したアラート情報を、
OWASP 2013基準の脆弱性TOP10に
※
照らし合わせをし、
攻撃を類型化しています。 2014年7月1日から2014年12月31日の間、
インジェクション
(Injection)が最も頻度の高い攻撃の類型であります。
インジェクション(Injection)は、OWASP 2013基準の脆弱性TOP10のA1に該当する攻撃類型です。
テキストを基盤とする試みが容易にでき、ほぼ全てのデータソースをインジェクションの経路として
活用できることから、比較的簡単に攻撃の試みが可能です。攻撃難易度に比べその技術的影響力は
深刻であり、
このような攻撃が成功した場合、企業の機密情報の漏洩による致命的な被害を及ぼす
恐れがあります。その結果、
ビジネス的損失、企業の追及する価値および社会に対するイメージへの
悪影響、
そして法的責任に問われる場合が多く見られるため、
必ず的確な対応をしなければなりません。
OWASPTOP10に対応するWAPPLESルールについては、
「WAPPLESルールによる対応−1.OWASP2013に対応する
WAPPLESルール」
を参考にしてください。
06
2014年下半期Webアプリケーション脅威解析報告書
OWASP Top 10 Web Application Security Risks 2013
¦
検知件数(件)
A1. インジェクション(Injection)
A2. 不完全な認証及びセッション管理(Broken Authentication and Session Management)
A3. クロスサイトスクリプティング(Cross Site Scripting：XSS)
A4. 安全でないオブジェクトの直接参照(Insecure Direct Object References)
A5. 不適切なセキュリティ設定(Secureity Misconfiguration)
A6. 機密データ露出(Sensitive Data Exposure)
A7. 不完全な機能レベルのアクセス制御(Missing Function Level Access Control)
詳細数値情報は、
WAPPLESを購入
したお客様に
配布される報告書
のみで提供されます。
A8. クロスサイト要求偽造(Cross Site Request Forgery：CSRF)
A10. 未検証のリダイレクトとフォワード(Unvalidated Redirects and Forwards)
< 表2. OWASP 2013基準Web攻撃類型Top10 >
07
2014年下半期Webアプリケーション脅威解析報告書
3. Web攻撃発信国Top 5
91.9%
4.7%
韓国
2.2%
アメリカ
中国
0.6%
0.6%
日本
フランス
本グラフは、WAPPLES検知ルールにより発生したアラートを発信元アドレスに基づいて国ごとに
分類し、頻度の高い攻撃発信国を出力しています。2014年7月1日から2014年12月31日の間、
2014年上半期と同じく韓国が最も頻度の高い攻撃発信国であり、その次が、アメリカ、中国の順と
なっています。
特徴としては、韓国からの攻撃は約3億件増加したのに対し、アメリカ、中国、日本からの攻撃関数は
大きな変化はなく、横ばい状態と見られます。
本報告書の解析対象としているデータは、韓国国内のサーバを保護対象としたWAPPLESに限定
されているため、本攻撃発信国のランキングには全世界における攻撃の動向が反映されていること
ではありません。
Web攻撃発信国
¦
検知件数（件)
韓国
アメリカ
詳細数値情報は、
WAPPLESを購入
したお客様に
配布される報告書
のみで提供されます。
中国
日本
フランス
< 表3. Web攻撃発信国Top 5 >
08
2014年下半期Webアプリケーション脅威解析報告書
4. Web攻撃の目的
27.7%
脆弱性スキャン
6.1%
Webサイト改ざん
17.5%
サーバ運用妨害
金銭的損害
13.1%
情報漏洩
13.0%
悪意あるコード挿入
2.6%
本グラフは、WAPPLES検知ルールにより発生したアラートを、その実行の目的ごとに分類し頻度を
出力しています。※2014年7月1日から2014年12月31日の間、脆弱性スキャンが最も頻度の高い
攻撃の目的であり、その次が、Webサイト改ざん、サーバ運用妨害の順となっています。
脆弱性スキャンは、自動化された攻撃ツールを用い、HTTP定義ではない不正なリクエスト(要求)
およびレスポンス(応答)を返す(インバリッドHTTP)、RFC定義ではない不正なURIをリクエスト
(要求)する(インバリッドURI)、Webサイトのディレクトリ構造を漏洩する(ディレクトリリスティング)、
意図的にエラーメッセージを表示させる(エラーハンドリング)などを行って、Webサイトに潜んでいる
脆弱性を洗い出すといった、攻撃のための事前調査を行うことです。
Webサイト改ざんは、Webサイトを不正に改ざんする(Webサイト改ざん)、SQLサーバにて実行される
コードに悪意あるコードを挿入し権限のないユーザが情報を取得し操作をする(SQLインジェクション)、
Webサーバにて実行可能な.exe, .jsp, .phpなどのファイルをWebサーバにアップロードする
（ファイル
アップロード）
、悪意あるスクリプト、
ファイル、
コードを挿入する
（インクルードインジェクション）
など、
権限のないユーザがWebサイトを改ざんおよび操作することです。
サーバ運用妨害は、Webサーバの正常運用を妨害することであり、不正な実行コードにより内部の
バッファを超えるようにする(バッファオーバープロ―)、
リクエスト(要求)にて必要以上のメソッド
およびヘッダを送り付けるなどがあります。
Web攻撃の目的に対応するWAPPLESのルールについては、
「WAPPLESルールによる対応−3. Web攻撃の目的に対応する
WAPPLESルール」
をご参考ください。
09
2014年下半期Webアプリケーション脅威解析報告書
金銭的損害は、
コマンドメカニズムを迂回するためにクッキー(ユーザの端末PCに保存されている
個人情報)の内容を改ざんし攻撃お行うことによって、他のユーザ情報を取得し、そのユーザに
なりすます(クッキーポイズニング)、不正なパラメータを挿入しアプリケーション動作を妨害する
(パラメータタンパリング)などを行いユーザに対し金銭的損害を与えることです。
情報漏洩は、Webサイトに対し、住民登録番号(韓国)やクレジットカード番号のような個人情報の
入力および漏洩する(プライバシーインプットフィルタリング、
プライバシーアウトプットフィルタリング)、
個人情報の含まれているファイルをアップロードする(プライバシーファイルフィルタリング)など、
ユーザの個人情報を不正に取得することです。
悪意あるコード挿入は、悪意あるスクリプトコードを挿入することによってユーザ情報を出力させる
(クロスサイトスクリプティング)、サーバ側にスクリプトを挿入し悪意あるコマンドを実行し情報を
取得する(ステルスコマンディング)、
不正なアクセスにて悪意あるコードを送り付けるなどの試みです。
Web攻撃の目的
¦
検知件数（件）
脆弱性スキャン
Webサイト改ざん
詳細数値情報は、
WAPPLESを購入
したお客様に
配布される報告書
のみで提供されます。
サーバ運用妨害
金銭的損害
情報漏洩
悪意あるコード挿入
< 表4. Web攻撃の目的 >
10
2014年下半期Webアプリケーション脅威解析報告書
5. WAPPLESルールごとの危険度
38.2%
31.0%
21.1%
9.8%
緊急
高
中
脆弱性の下調べ
本グラフは、
WAPPLESルールを対応への早急性に照らし合わせ、
緊急、
高、
中、
脆弱性の下調べといった
※
危険度にて分類し、攻撃の発生頻度を出力しています。 2014年7月1日から2014年12月31日の間、
中レベルが最も頻度が高く、
その次が緊急、高の順となっています。
WAPPLESルールごとの危険度
¦
検知件数（件）
緊急
詳細数値情報は、
WAPPLESを購入
したお客様に
配布される報告書
のみで提供されます。
高
中
脆弱性の下調べ
< 表5. WAPPLESルールごとの危険度 >
WAPPLESルールの危険度は、OWASP Top10を基準とし当社にて分類したレベルです。
詳細は、
「WAPPLESルールによる対応−2. 危険度に対応するWAPPLESルール」
をご参考ください。
11
2014年下半期Webアプリケーション脅威解析報告書
6. Web攻撃の月別推移
インクルード
インジェクション
(Include Injection)
x 10000
5000
バッファ
オーバーフロー
(Buffer Overflow)
4000
3000
プライバシー
アウトプット
フィルタリング
(Privacy Output
Filtering)
2000
クッキー
ポイズニング
(Cookie Poisoning)
1000
0
7月
8月
9月
10月
11月
12月
本グラフは、対応への早急性が高い４つの攻撃に対しての月別の推移を出力しています。2014年
下半期には2014年上半期に2位となっていた、Webサーバに対しURIをリクエストする際に悪意ある
ファイルを挿入するインクルードインジェクション(Include Injection)が最も頻繁に行われています。
サービス拒否などを引き起こすバッファオーバーフロー(Buﬀer Overﬂow)、
個人情報漏えいへの試みの
プライバシーアウトプットフィルタリング(Privacy Output Filtering)がその次の順となっています。
危険度の高い攻撃
7月
8月
9月
10月
11月
12月
インクルード
インジェクション
(Include Injection)
バッファオーバーフロー
(Buffer Overflow)
プライバシーアウトプット
フィルタリング
(Privacy Output Filtering)
詳細数値情報は、
WAPPLESを購入
したお客様に
配布される報告書
のみで提供されます。
クッキーポイズニング
(Cookie Poisoning)
< 表6.「緊急」
レベルの月ごとの攻撃推移 >
12
2014年下半期Webアプリケーション脅威解析報告書
WAPPLESルールによる対応
1. OWASP 2013に対応するWAPPLESルール
OWASP(Open Web Application Security Project)では、Webアプリケーションセキュリティ上で発生
頻度が高く、他にも影響を及ぼす恐れのあるWeb脆弱性に関する報告書を作成しています。以下の
表では2013年度OWASPが発表した10代脆弱性とこれに対応するWAPPLESルールを切り分けて
表示しました。
NO.¦
OWASP 2013
¦
WAPPLES Rules
パラメータタンパリング（Parameter Tampering）
1
インジェクション
(Injection)
2
不完全な認証およびセッション管理
(Broken Authentication and
Session Management)
3
クロスサイトスクリプティング
(Cross Site Scripting (XSS))
SQLインジェクション（SQL Injection）
ステルスコマンディング（Stealth Commanding）
インクルードインジェクション（Include Injection）
クッキーポイズニング（Cookie Poisoning）
不正アクセス（Suspicious Access）
クロスサイトスクリプティング（Cross Site Scripting）
URIアクセスコントロール（URI Access Control）
インバリッドURI（Invalid URI）
4
安全ではないオブジェクトの直接参照
(Insecure Direct Object References)
ユニコードディレクトリトラバーサル（Unicode Directory Traversal）
エラーハンドリング（Error Handling）
パラメータタンパリング（Parameter Tampering）
ステルスコマンディング（Stealth Commanding）
ディレクトリリスティング（Directory Listing）
5
不適切なセキュリティ設定
(Security Misconfiguration)
エラーハンドリング（Error Handling）
リクエストメソッドフィルタリング（Request Method Filtering）
インバリッドHTTP（Invalid HTTP）
ファイルアップロード（File Upload）
プライバシーファイルフィルタリング（Privacy File Filtering）
6
機密データ露出
(Sensitive Data Exposure)
プライバシーインプットフィルタリング（Privacy Input Filtering）
プライバシーアウトプットフィルタリング（Privacy Output Filtering）
インプットコンテンツフィルタリング（Input Contents Filtering）
エクステンションフィルタリング（Extension Filtering）
7
不安全な機能レベルのアクセス制御
(Missing Function Level Access Control)
URIアクセスコントロール（URI Access Control）
ユニコードディレクトリトラバーサル（Unicode Directory Traversal）
エクステンションフィルタリング（Extension Filtering）
クロスサイトスクリプティング（Cross Site Scripting）
8
クロスサイト要求偽造
(Cross Site Request Forgery)
9
既知の脆弱なコンポーネントを使用
(Using Components with Known
Vulnerabilities)
ALL
未検証のリダイレクトとフォワード
(Unvalidated Redirects and Forwards）
URIアクセスコントロール（URI Access Control）
10
パラメータタンパリング（Parameter Tampering）
13
2014年下半期Webアプリケーション脅威解析報告書
2. 危険度に対応するWAPPLESルール
レベル ¦
説明
¦
WAPPLESルール
インクルードインジェクション
(Include Injection)
Webサーバが完全にハッカーによって奪われ、
緊急
操られているため、深刻な機密情報漏洩が
懸念される
インクルードインジェクション
(Include Injection)
ステルスコマンディング
(Stealth Commanding)
SQLインジェクション
(SQL Injection)
プライバシーファイルフィルタリング
(Privacy File Filtering)
リクエストメソッドフィルタリング
(Request Method Filtering)
ファイルアップロード
(File Upload)
高
Webサーバを踏み台としハッキングが行われ、
深刻な2次攻撃へと拡大される
インバリッドURI
(Invalid URI)
バッファオーバーフロー
(Buffer Overflow)
クッキーポイズニング
(Cookie Poisoning)
クロスサイトスクリプティング
(Cross Site Scripting)
リクエストヘッダフィルタリング
(Request Header Filtering)
URIアクセスコントロール
(URI Access Control)
エクステンションフィルタリング
Webサーバの情報が改ざんされ、深刻な障害
中
までは陥っていないが、限定された範囲内の
Webサーバ上被害が懸念される
(Extension Filtering)
Webサイト改ざん
(Web Site Defacement)
インバリッドHTTP
(Invalid HTTP)
不正アクセス
(Suspicious Access)
ユニコードディレクトリトラバーサル
(Unicode Directory Traversal)
パラメータタンパリング
(Parameter Tampering)
ディレクトリリスティング
(Directory Listing)
脆弱性の
下調べ
本格的な攻撃のための準備の段階であり、
脆弱性を洗い出し情報を収集する
インプットコンテンツフィルタリング
(Input Content Filtering)
エラーハンドリング
(Error Handling)
レスポンスヘッダフィルタリング
(Response Header Filtering)
14
2014年下半期Webアプリケーション脅威解析報告書
3. Web攻撃の目的に対応するWAPPLESルール
Web攻撃の目的は、:
1. 攻撃を行うことによって、金銭的損害を及ぼすか、金銭的利益を得ることを狙っている
2. サーバーに負荷を与え、動作不能状態に陥るようにしてサーバー運用を妨害する
3. Web攻撃を実行するために、事前調査レベルで対象になるWebサーバの脆弱性をスキャンする
4. Webサイトを利用し、悪意あるコードを挿入しようとする
5. Webサイトの内容を任意で変更する
（Webサイト改ざん）
6. 個人情報、サーバー情報、
データベース情報などを漏洩させようとするなどが考えられます
Web攻撃の目的
金銭的損害
¦
WAPPLESルール
パラメータタンパリング (Parameter Tampering)
クッキーポイズニング (Cookie Poisoning)
不正アクセス (Suspicious Access)
サーバー運用妨害
リクエストメソッドフィルタリング (Request Method Filtering)
バッファオーバーフロー (Buffer Overflow)
インバリッドURI (Invalid URI)
インバリッドHTTP (Invalid HTTP)
脆弱性スキャン
リクエストヘッダフィルタリング (Request Header Filtering)
エラーハンドリング (Error Handling)
ディレクトリスティング (Directory Listing)
レスポンスヘッダフィルタリング (Response Header Filtering)
悪意あるコード挿入
ステルスコマンディング (Stealth Commanding)
クロスサイトスクリプティング (Cross Site Scripting)
インクルードインジェクション (Include Injection)
Webサイト改ざん
ファイルアップロード (File Upload)
SQLインジェクション (SQL Injection)
Webサイト改ざん (Web Site Defacement)
SQLインジェクション (SQL Injection)
ユニコードディレクトリトラバーサル (Unicode Directory Traversal)
情報漏洩
プライバシーアウトプットフィルタリング (Privacy Output Filtering)
プライバシーファイルフィルタリング (Privacy File Filtering)
プライバシーインプットフィルタリング (Privacy Input Filtering)
15
2014年下半期Webアプリケーション脅威解析報告書
付録
WAPPLESルールの紹介
WAPPLESルール
¦
説明
バッファオーバーフロー
(Buffer Overflow）
Webサーバに対しメモリ上Bufferをオーバーさせるような制限値より
大きなサイズのデータを遮断
クッキーポイズニング
(Cookie Poisoning）
認証情報のような重要なデータが含まれているCookieの認証のためのMAC
(Message Authenticity Code)より判断をし、改ざんを遮断
クロスサイトスクリプティング
(Cross Site Scripting）
クライアント側にて実行可能な悪意あるスクリプトコードを挿入する
試みを遮断
ディレクトリリスティング
(Directory Listing）
Webサーバのファイル、ディレクトリのトポロジー(構造)の外部漏洩
を遮断
エラーハンドリング
(Error Handling）
Webサーバ、WAS、DBMSサーバなどの情報が含まれている
エラーメッセージを遮断.
エクステンションフィルタリング
(Extension Filtering）
悪意あるユーザより利用される恐れのある拡張子を持つファイルへの
アクセスを遮断
ファイルアップロード
(File Upload）
Webサーバ側にて実行可能なファイルのアップロードを遮断
インクルードインジェクション
(Include Injection）
Webサーバにて実行可能なファイルの挿入を遮断
インプットコンテンツフィルタリング
(Input Content Filtering）
Webサイトのような公開ページ上他人を不愉快にさせる言葉を遮断するか、
指定した言葉に変換
インバリッドHTTP
(Invalid HTTP）
RFC 2068-HTTP/1.1基準プロトコルに準じていないアクセスを遮断
インバリッドURI
(Invalid URI）
RFC 2068-HTTP/1.1基準プロトコルに準じ定義されている形式ではない
URIへのアクセスを遮断
IP遮断
(IP Black）
同じ発信元より一定の時間内閾値以上の不正なアクセスが検知されると
発信元のアクセスを一時的に遮断
IPフィルタリング
(IP Filtering）
指定した特定のIPのセグメントや国からのアクセスを遮断
パラメータタンパリング
(Parameter Tampering）
Webサイトよりリクエストされていないパラメータを挿入し送り付けるか、
Webサーバから転送されたパラメータを改ざん
プライバシーファイルフィルタリング
(Privacy File Filtering）
個人情報が含まれているファイルのアップロードおよびダウンロードを遮断
16
2014年下半期Webアプリケーション脅威解析報告書
WAPPLESルール
プライバシーインプットフィルタリング
(Privacy Input Filtering）
¦
説明
掲示板やWebページのような公開ページ上個人情報
(クレジットカード番号、メールアドレス）の書き込みによる露出を遮断
掲示板やWebページのような公開ページ上個人情報
プライバシーアウトプットフィルタリング
(クレジットカード番号、メールアドレス）が漏洩される恐れのある場合、
(Privacy Output Filtering）
遮断および一部に対しマスキング処理
リクエストメソッドフィルタリング
(Request Method Filtering）
安全ではないHTTPリクエストのメソッドを遮断
レスポンスヘッダフィルタリング
(Response Header Filtering）
HTTP レスポンスにてWebサーバおよびWASの情報を削除
SQLインジェクション
(SQL Injection）
データベースに対しの不正なSQLクエリ文の試みを遮断
ステルスコマンディング
(Stealth Commanding）
Webサーバ上特定のコマンドを実行するリクエストを遮断
不正アクセス
(Suspicious Access）
Webブラウザからの正常なリクエストではない自動化されたツールによる
アクセスを遮断
ユニコードディレクトリトラバーサル
(Unicode Directory Traversal）
Webサーバのユニコード関連の脆弱性を利用するディレクトリおよび
ファイルへのアクセスを遮断
URIアクセスコントロール
(URI Access Control）
特定のURIやファイルへのアクセスを制御
Webサイト改ざん
(Website Defacement）
Webページが改ざんされた場合、検知し復旧ページを出力
17
ペンタセキュリティシステムズ株式会社
韓国本社
韓国ソウル市永登浦区国際金融路2-25(汝矣島洞韓進海運ビル20階)
TEL. +82-2-780-7728 FAX. +82-2-786-5281
お問い合わせ. +81-2-2125-6745 / [email protected]
www.pentasecurity.com
日本支社
東京都新宿区四谷4丁目3-20 いちご四谷四丁目ビル3F
TEL. 03-5361-8201 FAX. 03-5361-8202
お問い合わせ. 03-5361-8201 / [email protected]
www.pentasecurity.co.jp
Copyright 1997-2015 Penta Security Systems Inc. All rights reserved.

Download Report